Исходная ситуация:
Домашняя машина под Linux (или Windows 7) с подключенным рутокеном. КриптоПро отсутствует.
Удаленный рабочий стол к рабочей машине под Windows 7 с установленным КриптоПро (или без КриптоПро).
Проброс рутокена от домашней машины к удаленной через RDP.
Итак, есть Рутокен ЭЦП 2.0, сертификат получен в УЦ УФК с помощью КриптоПро, используя pkcs#11.
На этом же токене есть тестовый сертификат, выданный тестовым УЦ КриптоПро, используя pkcs#11.
Теоретически эти ЭЦП должны работать и без КриптоПро.
Так и есть: на удаленной машине, где нет КриптоПро, сертификат виден в "Панели управления Рутокен",
успешно происходит вход на Госуслуги, к примеру.
Если же на удаленной машине есть КриптоПро, то в панели КриптоПро по кнопке "Просмотреть сертификаты в контейнере"
аппаратные контейнеры не видны (видны только программные).
Различия заметны и в Панели управления Рутокен на удаленной машине:
"программные" сертификаты (которые видит КриптоПро) и "аппаратные" сертификаты (которые не видит КриптоПро) помечены разными значками,у "аппаратных" сертификатов нет возможности поставить галочку в графе "Зарегистрирован".
Более того, если из Панели управления Рутокен попытаться экспортировать "аппаратный" сертификат, получаем ошибку pkcs11 с кодом 0x82.
Казалось бы, pkcs#11 через RDP не работает. Ну, не работает и всё.
Но нет.
Работает сразу после логина в систему. Контейнеры в КриптоПро видны,в Панели управления Рутокен значки сертификатов, галочки в графе "Зарегистрирован" -- всё как полагается.
Но стоит только отключиться от удаленного рабочего стола (именно отключиться, без завершения сеанса) и подключиться вновь или даже просто переткнуть рутокен в USB-разъем -- всё. Контейнеры не видны, значки изменились, галочки исчезли.
Завершаем сеанс, подключаемся заново -- всё видно, всё работает. Перетыкаем токен -- опять не работает. И так далее.
Более стабильно это работает с какой-то совсем старой версией драйверов рутокен -- 4.12.0.0. Но в старых драйверах есть другая проблема, поэтому нужно использовать последнюю доступную версию -- 4.18.6.0.
Ещё замечено, что аппаратные контейнеры видны, если в КриптоПро выбрать режим "Хранить ключи в памяти приложений".
Но здесь могут быть видны не все сертификаты и нужно несколько раз перетыкать токен. Не слишком стабильно, но хоть что-то.
Всё вышеизложенное относится к ситуации, когда рутокен пробрасывается по RDP.
На локальной машине всё работает прекрасно, как с КриптоПро так и без.
Поскольку именно КриптоПро не видит контейнеры, а без КриптоПро вообще всё работает, то очевидно, проблема именно в КриптоПро, а не в драйверах рутокен.
Могу предположить, что причина в службе хранения ключей (поскольку режим "хранение ключей в памяти приложений" как-то решает проблему), но это неочевидно, а глубже я пока не копал.
К сожалению совсем без КриптоПро не обойтись: некоторые сервисы, нужные по работе, его требуют.
Поэтому хотелось бы разобраться.
Итак, что хочется понять:
Нормально ли такое поведение: то вижу, то не вижу, то работаю, то не работаю. И никогда не знаешь, будет ли контейнер виден при очередном подключении или нет.
Если pkcs11 должен работать по RDP, то почему не всегда работает?
Если pkcs11 НЕ должен работать по RDP, то почему иногда всё-таки работает?
Прошу дать разъяснения.
Отредактировано пользователем 26 января 2026 г. 22:35:59(UTC)
| Причина: Не указана
